Il 66% dei dipendenti italiani non ha consapevolezza in materia security

Il leader globale nella cybersecurity Fortinet, che promuove la convergenza tra networking e sicurezza, presenta il 2024 Security Awareness and Training Global Research Report, evidenziando il ruolo cruciale che una forza lavoro di dipendenti consapevoli in ambito informatico gioca nella gestione e nella mitigazione del rischio organizzativo.

“Dal momento che gli attori delle minacce sfruttano nuove tecnologie come l’intelligenza artificiale per aumentare la sofisticazione dei loro attacchi, è di cruciale importanza che i dipendenti fungano da solida prima linea di difesa. Il nuovo studio di Fortinet sottolinea l’importanza di creare una cultura della cybersecurity e la necessità di implementare la consapevolezza e la formazione sul tema della sicurezza a livello aziendale. Le evidenze illustrate non fanno che rafforzare la rilevanza del nostro pluripremiato servizio di Security Awareness and Training per le aziende, inclusa la versione gratuita disponibile per le scuole primarie e secondarie di tutto il mondo, così come il suo ruolo nel rafforzare la resilienza in ambito cyber”. Sono queste le parole di John Maddison, Chief Marketing Officer di Fortinet.

Ecco le evidenze emerse dal report

• Dal momento che i malintenzionati utilizzano l’intelligenza artificiale per aumentare il volume e la velocità dei loro attacchi, i responsabili aziendali ritengono che queste minacce saranno più difficili da individuare per i loro dipendenti. Il 76% degli intervistati si aspetta che un maggior numero di lavoratori sarà vittima di attacchi in cui i criminali informatici utilizzano l’IA. La buona notizia, tuttavia, è che secondo la maggior parte degli intervistati (80%) il proprio atteggiamento nei confronti della formazione sulla consapevolezza alla sicurezza è migliorato, proprio in considerazione dell’uso dell’IA da parte dei malintenzionati.
• I dipendenti possono essere la prima linea di difesa di un’organizzazione, ma i responsabili sono sempre più preoccupati che essi non siano consapevoli della sicurezza. Il 66% degli intervistati ritiene che il proprio personale non abbia conoscenze critiche in materia di cybersecurity.
• I dirigenti riconoscono l’importanza della formazione nell’ambito della sicurezza, ma ritengono che alcune caratteristiche specifiche rendano alcuni programmi di formazione più efficaci di altri. Il 90% dei responsabili d’azienda afferma di pianificare le campagne di sensibilizzazione sulla security, distribuendo i contenuti con cadenza annuale (40%) o trimestrale (50%). Gli intervistati sottolineano inoltre come il fatto di avere a disposizione delle tematiche di alta qualità giochi un ruolo fondamentale nel successo o nel fallimento del programma.

Dipendenti, affrontare minacce al passo con i tempi

I criminali informatici utilizzano l’intelligenza artificiale per rendere gli schemi di phishing più credibili e più difficili da individuare. Dal momento che questo tipo di minacce prendono di mira direttamente i singoli utenti, le organizzazioni si concentrano in particolare sull’educare i dipendenti affinché possano riconoscerle ed evitare di caderne vittima.

• Gli utenti finali restano un bersaglio appetibile. Lo scorso anno, oltre l’80% delle organizzazioni a livello globale ha subito attacchi da malware, phishing e alle password che hanno preso di mira direttamente i singoli individui.
• Con gli attacchi in continua evoluzione, la consapevolezza della sicurezza e la formazione saranno sempre più vitali. Quasi tutti gli intervistati (94%) hanno affermato che il loro team dirigenziale sostiene la formazione dei dipendenti in materia di security.
• Un numero molto alto di intervistati (72%) implementa campagne di sensibilizzazione sul phisihing come parte dei propri programmi e piani di formazione. Altre priorità sono la sicurezza dei dati e la privacy (entrambe al 38%).

I dipendenti: la prima linea di difesa contro attacchi 

Se i team che si occupano di security e di IT sono fondamentali per proteggere le organizzazioni dalle minacce informatiche, anche i dipendenti svolgono un ruolo importante nella prevenzione delle violazioni.

• C’è un’apertura verso le opportunità di acquisire consapevolezza e fare formazione. La maggior parte dei responsabili (86%) afferma che i propri dipendenti considerano positivamente la sensibilizzazione e il training in materia di sicurezza.
• Le organizzazioni osservano risultati positivi quando implementano programmi di formazione sulla sicurezza e sulla consapevolezza. La stragrande maggioranza dei dirigenti (84%) afferma che la propria organizzazione ha riscontrato almeno qualche miglioramento nella postura di sicurezza dopo l’implementazione di awareness e training dedicati alla security. Nessuno degli intervistati ha dichiarato di non aver riscontrato alcun miglioramento.

Non tutti i programmi sono uguali

La maggior parte delle organizzazioni è motivata a introdurre la consapevolezza e la formazione in materia di sicurezza in base alle violazioni subite o alla conoscenza delle minacce nel proprio settore o industria. Quasi tutti i decision maker (94%) affermano come il loro team dirigenziale sia favorevole all’implementazione del training per aumentare la consapevolezza dei dipendenti in materia di cybersecurity.

Secondo lo studio svolto quest’anno, l’84% dei responsabili ritiene che una maggiore consapevolezza dei dipendenti rafforzerebbe la postura di sicurezza informatica della propria organizzazione. Tuttavia, gli intervistati concordano anche sull’importanza di alcuni attributi chiave dei programmi di formazione ai fini della loro efficacia.

• È fondamentale che i contenuti siano coinvolgenti. Sebbene il 90% dei decision maker si dichiari soddisfatto della propria attuale soluzione di sensibilizzazione e formazione sulla cybersecurity, tra chi è di parere contrario, la principale insoddisfazione riguarda la mancanza di contenuti coinvolgenti.
• È necessario considerare l’impegno di tempo richiesto. Per evitare la “training fatigue”, è necessario considerare la quantità di tempo richiesta ai partecipanti. Chiedere un impegno troppo oneroso può infatti sovraccaricare i dipendenti. Il tempo più comunemente proposto varia tra 1,6 e 2,5 ore, con una media di 3.

“A fronte di uno scenario che vede il cybercrimine sempre più attivo nell’utilizzare le nuove tecnologie, i dati che riguardano il nostro Paese sono confortanti e mettono in luce una crescente attenzione alla carenza di competenze del personale e ai relativi programmi di training. Al tempo stesso è importante notare come queste iniziative siano apprezzate dai dipendenti e portino ottimi risultati, riscontrati dal management. Come Fortinet siamo molto attivi in Italia proprio nell’ambito della formazione, e abbiamo attivato, tramite il nostro Academic Partner Program, la collaborazione con più di 15 realtà distribuite sul territorio”, ha affermato Massimo Palermo, VP & Country Manager, Italy and Malta of Fortinet.

Sviluppare una forza lavoro consapevole

Anche un solo incidente ha ripercussioni significative per un’azienda. È pertanto fondamentale costruire una strategia di difesa su tre fronti che comprenda:

• la sensibilizzazione e la formazione alla sicurezza di tutti i dipendenti,
• le competenze tecniche in ambito cybersecurity del personale IT
• e creare le condizioni per la sicurezza e le soluzioni di sicurezza avanzate per la rete.

Oltre a insegnare agli individui cosa fare quando si confrontano con le minacce, la consapevolezza e la formazione pongono le basi per la creazione di una cultura della cybersecurity in tutta l’organizzazione. Fortinet propone il suo servizio di Security Awareness and Training alle aziende che desiderano sviluppare una forza lavoro consapevole dei rischi legati alla cybersecurity. Il servizio copre un’ampia gamma di argomenti, offre opportunità di personalizzazione dei contenuti e rafforza l’apprendimento con promemoria e verifiche periodiche. Le organizzazioni che ne fanno uso hanno anche accesso a una serie di dashboard per monitorare i progressi degli studenti e alla reportistica per rispondere alle esigenze di cyber insurance e compliance.